Computersicherheit
Hacker greifen das Homeoffice an
Hacker greifen das Homeoffice an
Hacker greifen das Homeoffice an
Diesen Artikel vorlesen lassen.
In steigendem Maße verschaffen Kriminelle sich über Fernzugriffe Zugang zu Datensystemen von Firmen, um diese dann zu erpressen. Die verantwortliche Behörde schätzt dieses Risiko als sehr hoch ein.
Plötzlich ist es passiert: Ein Betrieb hat keinen Zugriff auf die eigenen Daten. Kriminelle haben sich Zugang zum internen IT-System verschafft und alles verschlüsselt. Sie haben sozusagen das System gekapert. Den Schlüssel rücken sie nur heraus, wenn der Betrieb ein Lösegeld zahlt.
Diese Form der Cyberkriminalität kommt bereits seit geraumer Zeit unangenehm häufig vor. Doch nun nutzen die Hacker verstärkt ein neues Schlupfloch, um in die Datensysteme einzudringen: das Homeoffice, oder genauer gesagt, den Fernzugriff (RDP), der das Arbeiten im Homeoffice überhaupt erst ermöglicht.
„Das Homeoffice bietet den Hackern neue Angriffsflächen, und dadurch sind die Datensysteme von Betrieben und Behörden verwundbarer geworden. Die Organisationen waren gezwungen, sich sehr schnell umzustellen und viele Fernzugänge einzurichten. Das konnte die Sicherheit beeinträchtigen, wenn nicht mehr getan wurde, um sie zu verbessern“, sagt Mark Fiedel, designierter Chef des Zentrums für Cybersicherheit (CFCS), das dem militärischen Nachrichtendienst FE angegliedert ist.
Angriff nur eine Frage der Zeit
Die Shutdowns während der Corona-Krise und Arbeit im Homeoffice haben die Kriminellen noch weiter beflügelt. Das CFCS beschreibt, dass eine Hackergruppe ihre schädliche Software (Malware) mit einem Modul versehen hat, das gezielt nach Fernzugriffen mit Schwachstellen sucht. Zu einem späteren Zeitpunkt wird dann ein Angriff auf interessante Ziele gestartet.
„Das Niveau des Risikos von Cyberkriminalität ist auf der höchsten Stufe. Das bedeutet, dass die Hackergruppen sowohl das Wissen als auch den Willen haben, anzugreifen. Hat man einen verwundbaren Fernzugang, ist es nur eine Frage der Zeit, bevor er gefunden wird, und Hacker versuchen, ihn ausnutzen“, so Fiedel.
Systematische Suche nach Schwachstellen
Gruppen von Hackern suchen gezielt nach Löchern bei der Sicherheit der Fernzugriffe. Sie versuchen, sich über bekannte Schwachstellen der Systeme, Malware oder unsichere Passwörter Zugang zu den Datensystemen zu verschaffen. Eine andere bekannte Methode ist, dass sie über sogenannte Phishingmails Mitarbeiterinnen oder Mitarbeitern Passwörter entlocken.
„Die Kriminellen scannen kontinuierlich das Netz nach neuen Zielen und registrieren, wie Einheiten im Internet aussehen, und welche Schwachstellen sie haben. Wenn es ihnen glückt, Nutzer oder Netzwerke zu kompromitieren, verkaufen sie die Login-Informationen an andere Hackergruppen. Diese können dann den gekauften Zugriff nutzen, um zum Beispiel einen Ransomware-Angriff durchzuführen“, erläutert der CFCS-Chef.
Arbeitsteilung unter Kriminellen
Die Passwörter müssen nicht unbedingt Zugriff auf zentrale Teile des Systems ermöglichen, aber die Hacker können über diese weitergelangen. Sie nisten sich dann im Datensystem ein, bis sie so weit sind, dass sie die Daten verschlüsseln und somit das System kapern können.
„Die Arbeitsteilung bedeutet auch eine stärkere Professionalisierung. Die Situation ändert sich laufend; wenn eine Hackergruppe eine neue und effektive Methode findet, ahmen andere diese sofort nach“, weiß der CFCS-Chef.
Ein Beispiel sei das Fänomen, dass doppelte Erpressung gennant wird, bei der die Kriminellen nicht nur die Daten verschlüsseln, sondern auch damit drohen, sensible Daten zu veröffentlichen, sollte man die Zahlung eines Lösegeldes verweigern.
„Eine Gruppe fing damit an, und blitzschnell wurde es zum Standard bei Ransomware-Angriffen“.
Klare Richtlinien notwendig
Laut Einschätzung der Behörde gab es im zweiten Quartal von 2021 noch 4.000 verwundbare Fernzugriffe, die zum Internet hin offen standen.
Solche Löcher sollten schleunigst gestopft werden. Das CFCS empfiehlt, dass der Zugang zu internen Datensystemen ausschließlich über gesicherte Verbindungen (Gateways) und ausgestattet mit der neuesten Softwareversion möglich sein soll.
„Mindestens genauso wichtig ist es, klare Richtlinien dafür zu erarbeiten, wie und wann Fernzugriffe genutzt werden. Zum Beispiel sollte man festlegen, welche Zugriffsrechte die einzelnen Mitarbeiterinnen und Mitarbeiter haben sollen. Geklärt werden muss, ob es absolut notwendig ist, ‚zentralen Administratorschlüssel‘ über Fernzugriff zu bedienen, oder ob das ausschließlich bei Präsenz möglich sein soll“, betont Mark Fiedel.